sshd被攻击的自动防御方法v1

林继 VPS 知识 1,627 共写了800个字 (2012-12-29 22:19:00) 没有评论 打印 扫描二维码 百度已收录

本文来自:http://haoyun.blog.51cto.com/2038762/1045339

你是否遇到过sshd服务被暴力破解的纠结一幕呢?有人可能会说我只允许我们公司的ip登陆不就行了吗,但是当公司使用的是ADSL拨号方式上网的时候就显的力不从心了,无法确定ip来源了。当然了如果公司使用的是固定ip,就忽略之。

本文只是提供一个方法,具体适用于谁,适用于什么环境,还是自己斟酌吧!

我的系统是CentOS5.4,借助swatch这个工具来实现自动防御,完全实现自动化,自动封锁攻击ip,并在指定时间后解封,这个过程完全自动化。

1、安装swatch

  1. # yum --enablerepo=bjtu install swatch

版本应该>=3.2.3
之前用3.1.1版本,有点问题

2、创建配置文件

  1. # touch ~/.swatchrc
  2. # vim ~/.swatchrc

因为sshd服务的日志文件为/var/log/secure,加入要监控的配置项,如下

  1. #
  2. # bad login attempts
  3. watchfor /sshd.+ Failed password for .+ from ([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)/
  4.         echo magenta
  5.         bell 1
  6.         exec "/root/swatch.sh $1"

保存退出

3、创建攻击检测到后的处理脚本

  1. # touch /root/swatch.sh
  2. # vim /root/swatch.sh

加入如下脚本:

  1. #!/bin/sh
  2.  
  3. IP=$1
  4. echo $IP >> /root/sshd_blocked_ip_list
  5.  
  6. /sbin/iptables -I INPUT -s "$IP" -p tcp --dport 22 -j DROP
  7.  
  8. /usr/bin/at "now + 1 hours" <<< "/sbin/iptables -D INPUT -s $IP -p tcp --dport 22 -j DROP"

修改脚本文件权限

  1. # chmod u+x /root/swatch.sh

4、运行swatch

  1. # /usr/bin/swatch -t /var/log/secure --daemon

Note:
攻击者的ip被记录到sshd_blocked_ip_list里了
另外可以通过查看防火墙规则看到正在被封锁的ip

  1. # iptables -L -n

以及自动清除的计划任务

  1. # atq

至此便完成了一个sshd暴力破解自动防御系统,由于监控日志时swatch可能有延迟,所以防火墙规则里可能会有多于一条的相同规则,但是不影响功能。

如果觉得我的文章对您有用,请随意赞赏。您的支持将鼓励我继续创作!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

< >